UNIVERSIDAD INTERNACIONAL SEK
FACULTAD DE ARQUITECTURA E INGENIERÍAS
Trabajo de fin de carrera titulado:
"ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA DE LA UNIVERSIDAD INTERNACIONAL SEK-
ECUADOR EN EL CAMPUS MIGUEL DE CERVANTES"
Realizado por:
LUIS ALBERTO DARIK MUÑOZ ALVAREZ
Director del proyecto:
ING. EDISON ESTRELLA, MBA.
Como requisito para la obtención del título de:
INGENIERO EN TELECOMUNICACIONES
iii
DECLARACIÓN JURAMENTADA
Yo, LUIS ALBERTO DARICK MUÑOZ ALVAREZ, con cédula de identidad
#1722945688, declaro bajo juramento que el trabajo aquí desarrollado es de mi autoría,
que no ha sido previamente presentado para ningún grado a calificación profesional; y,
que he consultado las referencias bibliográficas que se incluyen en el documento.
A través de la presente declaración, cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la UNIVERSIDAD INTERNACIONAL SEK, según
lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normativa
vigente.
_______________________________
iv
DECLARATORIA
El presente trabajo de investigación titulado:
"ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE
SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA
DE LA UNIVERSIDAD INTERNACIONAL SEK - ECUADOR EN EL CAMPUS
MIGUEL DE CERVANTES"
Realizado por:
LUIS ALBERTO DARIK MUÑOZ ALVAREZ
Como requisito para la obtención del título de:
INGENIERO EN TELECOMUNICACIONES
Ha sido dirigido por el docente:
ING. EDISON ESTRELLA, MBA.
Quien considera que constituye un trabajo original de su autor
_________________________
Ing. Edison Estrella, MBA.
v
DECLARATORIA
El profesor informante:
ING. JUAN GRIJALVA
Después de revisar el trabajo presentado,
lo ha calificado como apto para su defensa oral ante
el tribunal examinador
_______________________
Ing. Juan Grijalva, MSC.
vi
DEDICATORIA
Dedico el presente proyecto de
investigación de manera muy especial a
mis padres y a mis hermanos que con su
constante e incondicional apoyo han
sido y serán siempre la base
fundamental en mi vida.
A mis familiares y amigos más
cercanos por su afecto y cariño en todo
momento.
Y a un gran amigo que siempre estuvo
vii
AGRADECIMIENTO
A Dios.
A mis padres.
A mis hermanos.
A mis familiares.
A mis amigos.
A mi tutor.
A mis profesores.
viii
ÍNDICE GENERAL
DECLARACIÓN JURAMENTADA ____________________________________________ iii
DECLARATORIA ___________________________________________________________ iv
DECLARATORIA ___________________________________________________________ v
DEDICATORIA _____________________________________________________________ vi
AGRADECIMIENTO _______________________________________________________ vii
RESUMEN________________________________________________________________ xxiii
ABSTRACT _______________________________________________________________ xxiv
CAPÍTULO I _______________________________________________________________ 25
INTRODUCCIÓN _________________________________________________________ 25
1.1 El Problema de Investigación __________________________________________ 25
1.1.1 Planteamiento del Problema _________________________________________ 25
1.1.2 Objetivo General __________________________________________________ 27
1.1.3 Objetivos Específicos ______________________________________________ 27
1.1.4 Justificación _____________________________________________________ 28
1.1.5 Alcance _________________________________________________________ 29
1.2 Marco Teórico _____________________________________________________ 30
ix
1.3 Marco Conceptual ___________________________________________________ 35
1.3.1 Sistema Operativo _________________________________________________ 35
1.3.2 Servicios del Sistema Operativo ______________________________________ 36
1.3.3 Sistemas Distribuidos ______________________________________________ 37
1.3.4 Hardware de red __________________________________________________ 38
1.3.4.1 PAN ________________________________________________________ 41
1.3.4.2 LAN ________________________________________________________ 41
1.3.4.3 WAN _______________________________________________________ 41
1.3.5 Redes inalámbricas ________________________________________________ 41
1.3.5.1 Redes de área local inalámbricas (WLAN) __________________________ 42
1.3.5.2 Tecnología Wi-Fi ______________________________________________ 42
1.3.5.3 Estándares Wi-Fi ______________________________________________ 43
1.3.5.4 Estándar 802.1x _______________________________________________ 43
1.3.5.5 IEEE 802.1x y EAP ____________________________________________ 43
1.3.6 Software de red ___________________________________________________ 45
1.3.7 Servicios de conexión ______________________________________________ 45
1.3.7.1 Servicio orientado a conexión ____________________________________ 45
1.3.7.2 Servicio orientado sin conexión __________________________________ 46
1.3.8 Arquitectura de seguridad ___________________________________________ 46
1.3.9 Modelo de referencia TCP/IP ________________________________________ 47
x
1.3.10.1 Autenticación _________________________________________________ 48
1.3.10.2 Criptografía __________________________________________________ 49
1.3.10.3 Algoritmos de Autentificación HASH _____________________________ 51
1.3.11 Servicio de Directorio ____________________________________________ 51
1.3.12 Certificado Digital _______________________________________________ 52
1.3.13 Autoridad Certificadora CA _______________________________________ 53
1.3.14 Renovación de Certificados _______________________________________ 54
1.3.15 Revocación de Certificados ________________________________________ 54
1.3.16 PEAP _________________________________________________________ 54
1.3.17 LDAP ________________________________________________________ 55
1.3.18 RADIUS ______________________________________________________ 56
1.3.19 Servidor de Base de Datos ________________________________________ 57
1.3.20 SQL Server ____________________________________________________ 57
1.3.21 Servidor DNS __________________________________________________ 58
1.3.22 Servidor DHCP _________________________________________________ 58
1.3.23 NAS __________________________________________________________ 59
1.3.24 Active Directory ________________________________________________ 59
CAPÍTULO II ______________________________________________________________ 60
MÉTODO ________________________________________________________________ 60
xi
2.1.1 Estudio Preliminar ________________________________________________ 60
2.1.2 Estudio de Factibilidad _____________________________________________ 61
2.1.2.1 Operativa ____________________________________________________ 61
2.1.2.2 Técnica ______________________________________________________ 63
2.1.2.3 Tecnológica __________________________________________________ 64
2.1.2.4 Económica ___________________________________________________ 67
2.2 Diseño ____________________________________________________________ 69
2.2.1 Esquema General de la Solución Técnica _______________________________ 69
3.1 CONSTRUCCIÓN __________________________________________________ 73
3.2 IMPLEMENTACIÓN _______________________________________________ 76
3.2.1 Hardware ________________________________________________________ 77
3.2.1.1 Antena Unifi AP ______________________________________________ 77
3.2.1.2 Características generales ________________________________________ 78
3.2.1.3 Controlador UNIFI ____________________________________________ 78
3.2.1.4 Características Técnicas ________________________________________ 80
3.2.2 Software ________________________________________________________ 81
3.2.2.1 Zeroshell ____________________________________________________ 82
3.2.2.2 Windows Server 2008 R2 _______________________________________ 82
3.2.3 Implementación Inicial _____________________________________________ 84
3.2.3.1 Instalación del controlador y consola de administración del AP__________ 84
xii
3.2.3.3 Autoridad Certificadora _________________________________________ 97
3.2.3.4 Configuración del servidor RADIUS en Zeroshell ____________________ 99
3.2.3.5 Clave Pública ________________________________________________ 100
3.2.3.6 Instalación y configuración de Windows Server 2008 R2 _____________ 105
CAPÍTULO IV ____________________________________________________________ 161
DISCUSIÓN _____________________________________________________________ 161
4.1 CONCLUSIONES _________________________________________________ 161
4.2 RECOMENDACIONES ____________________________________________ 164
BIBLIOGRAFÍA___________________________________________________________ 166
ANEXOS _________________________________________________________________ 169
ANEXO A – CERTIFICADO PRUEBAS DE IMPLEMENTACIÓN _____________ 169
ANEXO B – ÍNDICE DE ABREVIATURAS __________________________________ 170
xiii
ÍNDICE TABLAS
Tabla No. 1: Software disponible ________________________________________________ 66
Tabla No. 2: Presupuesto de Costos aproximados ___________________________________ 68
Tabla No. 3: Criterios de solución _______________________________________________ 70
Tabla No. 4: Características técnicas antena AP Unifi (Ubiquiti) _______________________ 81
xiv
ÍNDICE DE FIGURAS
Figura No. 1: Ethernet conmutada _______________________________________________ 39
Figura No. 2: Internet _________________________________________________________ 40
Figura No. 3: Modelo TCP/IP ___________________________________________________ 48
Figura No. 4: Criptografía de datos ______________________________________________ 49
Figura No. 5: Diagrama de solución ______________________________________________ 71
Figura No. 6: Diagrama de comunicación entre usuarios – clientes - RADIUS ____________ 71
Figura No. 7: Diagrama de validación ____________________________________________ 72
Figura No. 8: Access Point UAP-LR (Long Range)__________________________________ 77
Figura No. 9: AP rango de cobertura _____________________________________________ 80
Figura No. 10: Arranque del controlador AP _______________________________________ 85
Figura No. 11 Interfaz web de configuración _______________________________________ 85
Figura No. 12: AP conectadas __________________________________________________ 86
Figura No. 13: Configuración del SSID ___________________________________________ 87
Figura No. 14: Configuración de administrador _____________________________________ 87
xv
Figura No. 16: Consola de administración web _____________________________________ 88
Figura No. 17: Ingreso y visualización del AP ______________________________________ 89
Figura No. 18: Creación de la máquina virtual (modo de instalación) ____________________ 90
Figura No. 19: Resumen de máquina virtual _______________________________________ 90
Figura No. 20: Opciones de Configuración ________________________________________ 91
Figura No. 21: Ingreso a interfaz web ____________________________________________ 91
Figura No. 22: Modificación de la dirección IP _____________________________________ 92
Figura No. 23: Interfaz web de Zeroshell __________________________________________ 93
Figura No. 24: Creación perfil __________________________________________________ 93
Figura No. 25: Creación de la partición ___________________________________________ 94
Figura No. 26: Selección de partición creada _______________________________________ 94
Figura No.27: Formulario de creación de perfil _____________________________________ 95
Figura No.28: Resumen del perfil creado __________________________________________ 95
Figura No. 29: Activación del nuevo perfil creado___________________________________ 96
Figura No. 30: Ingreso a la interfaz reiniciada ______________________________________ 97
Figura No. 31: Creación de CA _________________________________________________ 97
xvi
Figura No. 33: Lista de usuarios existentes ________________________________________ 98
Figura No. 34: Resumen del certificado creado _____________________________________ 99
Figura No. 35: Activación del servidor RADIUS ___________________________________ 100
Figura No. 36: Registro de clientes RADIUS ______________________________________ 100
Figura No. 37: Clave pública descargada _________________________________________ 101
Figura No. 38: Clave privada exportada __________________________________________ 101
Figura No. 39: Importación del certificado________________________________________ 102
Figura No. 40: Carga de certificado _____________________________________________ 103
Figura No. 41: Mensaje de importación realizada __________________________________ 103
Figura No. 42: Detalle de Radius CA ____________________________________________ 104
Figura No. 43: Mensaje de confirmación _________________________________________ 105
Figura No. 44: Creación de la máquina virtual en VMware ___________________________ 105
Figura No. 45: Instalación del Sistema Operativo __________________________________ 106
Figura No. 46: Ventana de tareas de configuración inicial ____________________________ 106
Figura No. 47: Configuración de direcciones del servidor ____________________________ 107
Figura No. 48: Cambio del nombre del equipo (servidor) ____________________________ 107
xvii
Figura No. 50: Asistente para instalación de roles del servidor ________________________ 108
Figura No. 51: Selección de rol ________________________________________________ 109
Figura No. 52: Resultados de la instalación _______________________________________ 109
Figura No. 53: Administrador de DNS ___________________________________________ 110
Figura No. 54: Asistente de nueva zona __________________________________________ 110
Figura No. 55: Tipo de zona ___________________________________________________ 111
Figura No. 56: Nombre de zona ________________________________________________ 111
Figura No. 57: Finalización de creación de nueva zona ______________________________ 112
Figura No. 58: Host nuevo ____________________________________________________ 112
Figura No. 59: Ingreso de IP en el host nuevo _____________________________________ 113
Figura No. 60: Registro de host ________________________________________________ 113
Figura No. 61: Alias nuevo ____________________________________________________ 114
Figura No. 62: Nombre de alias ________________________________________________ 114
Figura No. 63: Nombre de dominio para host destino _______________________________ 115
Figura No. 64: Registros de host y alias __________________________________________ 115
Figura No. 65: Creación de nueva zona __________________________________________ 116
xviii
Figura No. 67: Nueva zona para IPv4 ____________________________________________ 117
Figura No. 68: Id de red de zona nueva __________________________________________ 117
Figura No. 69: Finalización del asistente _________________________________________ 118
Figura No. 70: Nuevo puntero (PTR) ____________________________________________ 118
Figura No. 71: Configuración del puntero ________________________________________ 119
Figura No. 72: Nuevo registro de recursos ________________________________________ 119
Figura No. 73: Nuevo puntero registrado _________________________________________ 120
Figura No. 74: Configuración IP de la máquina física _______________________________ 120
Figura No. 75: Comprobación de conexión _______________________________________ 121
Figura No. 76: Rol de Servidor DHCP ___________________________________________ 121
Figura No. 77: Especificaciones de configuración para servidor DHCP _________________ 122
Figura No. 78: Especificación de datos para nuevo ámbito ___________________________ 123
Figura No. 79: Resumen informativo del rol instalado _______________________________ 123
Figura No. 80: Cuentas de usuario del servidor ____________________________________ 124
Figura No. 81: Servidor DHCP _________________________________________________ 124
Figura No. 82: Configuración IP de la maquina física _______________________________ 125
xix
Figura No. 84: Estado de conexión desde servidor a equipo terminal ___________________ 126
Figura No. 85: Asistente de instalación de servicios de dominio de AD _________________ 126
Figura No. 86: Configuración de implementación __________________________________ 127
Figura No. 87: Asignación de nombre al dominio raíz del bosque _____________________ 128
Figura No. 88: Nivel funcional del bosque ________________________________________ 128
Figura No. 89: Ingreso de contraseña ____________________________________________ 129
Figura No. 90: Finalización del asistente de instalación de AD ________________________ 129
Figura No. 91: Creación de Unidad organizativa en AD _____________________________ 130
Figura No. 92: Unidad organizativa _____________________________________________ 130
Figura No. 93 Creación de usuario dentro de la unidad ______________________________ 131
Figura No. 94: Asignación de contraseña del usuario _______________________________ 131
Figura No. 95: Usuario creado en la unidad RADIUS en AD _________________________ 132
Figura No. 96: Propiedades del usuario creado ____________________________________ 132
Figura No. 97: Creación de Grupo ______________________________________________ 133
Figura No. 98: Nuevo grupo creado _____________________________________________ 133
Figura No. 99: Nuevo equipo creado ____________________________________________ 134
xx
Figura No. 101: Ingreso de nombre de objeto _____________________________________ 135
Figura No. 102: Tipos de objeto ________________________________________________ 135
Figura No. 103: Configuración de objetos del grupo ‘groupradius’ _____________________ 136
Figura No. 104: Miembros agregados al grupo ____________________________________ 136
Figura No. 105: Instalación de roles en el servidor _________________________________ 137
Figura No. 106: Instalación de roles adicionales en el servidor ________________________ 137
Figura No. 107: Consola raíz del sistema en el servidor RADIUS _____________________ 138
Figura No. 108: Plantillas de certificado _________________________________________ 138
Figura No. 109: Configuración de complemento de certificados _______________________ 138
Figura No. 110: Configuración de selección de equipo ______________________________ 139
Figura No. 111: Certificados___________________________________________________ 139
Figura No. 112: Entidad de certificación _________________________________________ 140
Figura No. 113: Selección de plantilla ___________________________________________ 140
Figura No. 114: Plantilla duplicada _____________________________________________ 141
Figura No. 115: Propiedades de plantilla nueva ____________________________________ 141
Figura No. 116: Nombre del sujeto______________________________________________ 142
xxi
Figura No. 118: Seguridad para equipos del dominio _______________________________ 143
Figura No. 119: Configuración de nueva plantilla __________________________________ 144
Figura No. 120: Selección de plantilla de certificado ________________________________ 144
Figura No. 121: Solicitud de certificado nuevo ____________________________________ 145
Figura No. 122: Inscripción de certificados _______________________________________ 145
Figura No. 123: Selección de directiva de inscripción de certificación __________________ 146
Figura No. 124: Solicitud de certificados _________________________________________ 146
Figura No. 125: Propiedades de certificado elegido _________________________________ 147
Figura No. 126: Resultados de instalación de certificado_____________________________ 147
Figura No. 127: Configuración almacenada en el servidor ___________________________ 148
Figura No. 128: Configuración NPS (local) _______________________________________ 148
Figura No. 129: Selección del tipo de conexión 802.1X _____________________________ 149
Figura No. 130: Registro de datos del nuevo cliente RADIUS ________________________ 150
Figura No. 131: Método de autenticación _________________________________________ 150
Figura No. 132: Agregar grupo _________________________________________________ 151
Figura No. 133: Selección de grupo de AD _______________________________________ 151
xxii
Figura No. 135: Punto de acceso con dirección IP por DHCP _________________________ 152
Figura No. 136: Autenticación del usuario de prueba ‘a01’ en la red inalámbrica _________ 153
Figura No. 137: Ingreso de credenciales de autenticación ____________________________ 154
Figura No. 138: Conexión a la red inalámbrica ____________________________________ 154
Figura No. 139: Usuario autentificado y conectado a la red inalámbrica _________________ 155
Figura No. 140: Dirección IP por DHCP del equipo terminal _________________________ 155
Figura No. 141: Comprobación de estado de conexión desde equipo terminal ____________ 156
Figura No. 142: Asignación de direcciones IP por DHCP ____________________________ 156
Figura No. 143: Registro de usuario activo en la consola del AP ______________________ 157
Figura No. 144: Usuario de terminal móvil autenticado y conectado ___________________ 157
Figura No. 145: Características del nuevo usuario conectado _________________________ 157
Figura No. 146: Dirección IP asignado a terminal móvil por DHCP ____________________ 158
Figura No. 147: Usuarios conectados a la red inalámbrica ___________________________ 158
Figura No. 148: Menú de opciones administrativas de la consola de AP_________________ 159
Figura No. 149: Redes inalámbricas existentes ____________________________________ 159
Figura No. 150: Configuración de la red inalámbrica en la consola de AP _______________ 160
xxiii
RESUMEN
El presente trabajo de investigación tiene el objeto de mostrar el análisis, diseño e
implementación de una arquitectura de seguridad para el control de acceso a la red inalámbrica de
la Universidad Internacional SEK en el campus Miguel de Cervantes, el cual permite solventar los
problemas y necesidades debido a la inexistencia de seguridad en la red inalámbrica de la
institución. La implementación de la propuesta de solución proporciona un esquema de control y
gestión de acceso de usuarios, consiguiendo que el uso de la red sea exclusivamente utilizado por
usuarios vinculados a la institución; haciendo que la administración de la red sea eficiente y
garantice la disponibilidad de recursos y servicios. El análisis y el diseño de la arquitectura de
seguridad fueron propuestos en base a las necesidades de adaptabilidad a las herramientas
administrativas y de infraestructura de red de la institución. La etapa de desarrollo se sustentó en
la implementación de prueba de un servidor de autenticación RADIUS que proporciona servicios
de autenticación, autorización y contabilidad (AAA) para el acceso de usuarios registrados. Con
ello se consigue una optimización del uso de ancho de banda y la disminución del tráfico en la red.
También se utilizaron los roles y servicios disponibles por el sistema operativo base, certificados
digitales, un directorio activo y una base de datos en SQL Server. Las herramientas de desarrollo
e implementación fueron de software propietario. Por tanto, se presenta como resultado final un
esquema administrable de seguridad para un adecuado control y gestión acceso de los usuarios.
xxiv
ABSTRACT
This research has the object to show the analysis, design and implementation of a security
architecture for access control to the wireless network of the International University SEK in
Miguel de Cervantes campus, which allows to solve the problems and needs due to the lack of
security in the wireless network of the institution. The implementation of the proposed solution
provides a scheme for controlling and managing user access, getting the use of the network is used
exclusively for users linked to the institution; making efficient the network management and
ensure the availability of resources and services. The analysis and design of security architecture
were proposed based on adaptability to the needs of administrative and network infrastructure tools
of the institution. The stage of development was based on the test implementation of a RADIUS
authentication server that provides services of authentication, authorization and accounting (AAA)
for access to registered users. Thereby optimizing the use of bandwidth and reduced network traffic
is achieved. Roles and services available from the base operating system, digital certificates, an
active directory and a database in SQL Server were also used. Development tools and
implementation were of proprietary software. Therefore, the end result is presented as a
manageable security scheme for proper management and control user access.
25
CAPÍTULO I
INTRODUCCIÓN
1.1 El Problema de Investigación
1.1.1 Planteamiento del Problema
El desarrollo de sistemas, redes de telecomunicaciones, tecnología, medios de
comunicación y diversos factores han permitido el desarrollo y avance de la sociedad en
distintos campos como las TICs. Ahora las redes informáticas y de telecomunicaciones se
establecen con mayor frecuencia debido a la necesidad de comunicación de la sociedad; es
por eso que la seguridad es un factor que se vuelve muy importante al momento de
garantizar una estabilidad, integridad, confiabilidad, disponibilidad, y sobretodo protección
de los recursos. Hoy en día un sin número de organizaciones, corporaciones, instituciones
bancarias y académicas, etc., al tener un manejo y gestión de la red que utilizan requieren
tener un control que permita conocer que o quienes pueden tener acceso a la misma.
En la Universidad Internacional SEK la red de comunicación constituye la red
alámbrica e inalámbrica gestionada mediante diversas herramientas de administración, y
26
al sistema otorgando las debidas autorizaciones que proporcionan una comunicación
segura.
La red inalámbrica se encuentra gestionada por herramientas básicas para el control
de conexión, sin embargo, los accesos a la misma no son controlados, siendo expuesto
contra riesgos tanto por vulnerabilidades internas de seguridad como también por las
constantes amenazas presentes en el exterior.
Los equipos que constituyen los puntos de acceso a la red inalámbrica, proveen el
servicio de conexión a internet a los usuarios de la institución cuyo acceso es directo sin
ningún tipo de restricción debido a que la red se encuentra abierta para el público
ocasionando mayor tráfico en la red al haber mayor número mayor de usuarios.
El crecimiento y aparición de nuevas redes de comunicaciones con tendencia hacia
redes inalámbricas hace necesario tener o emplear un esquema de seguridad y gestión de
riesgo tanto para los administradores como para los usuarios, que deben confirmar su
autenticación para acceder a los recursos que estén establecidos a su disposición con las
respectivas autorizaciones; permitiendo tener un registro continuo de las actividades y el
tráfico generado de modo seguro evitando así que intrusos puedan ingresar y obtener
información confidencial de la Institución o de sus usuarios.
Por lo tanto una administración de los usuarios mediante un servicio de gestión,
27
autenticación y un servidor de base de datos ofrecerá mejores prestaciones en la
arquitectura de seguridad para la gestión de control de accesos y autenticación en la red
institucional.
1.1.2 Objetivo General
Analizar, diseñar e implementar una arquitectura de seguridad para el control y
autenticación de los usuarios, que permita una adecuada gestión de las cuentas de los
usuarios en un sistema de control general brindando mayor eficiencia y reduciendo al
máximo los riesgos en la red inalámbrica del campus Miguel de Cervantes de la
Universidad Internacional SEK.
1.1.3 Objetivos Específicos
Conocer el estado actual de la arquitectura, seguridad e infraestructura de red de la Universidad Internacional SEK.
Plantear una arquitectura de seguridad para la gestión y control de acceso de los usuarios a la red inalámbrica de la Institución.
28
Implementar el modo de autenticación y control de usuarios gestionado por un servicio de directorio para cuentas de usuarios.
Determinar un sistema de monitoreo que permita el control de acceso en la red de la institución académica.
1.1.4 Justificación
Ahora la propuesta de análisis, diseño e implementación de una arquitectura de
seguridad en la red inalámbrica del campus Miguel de Cervantes de la Universidad
Internacional SEK para el control y autenticación de los usuarios (estudiantes, profesores,
invitados y la administración) a través de un sistema de gestión permitirá un eficiente uso
de la red dando mejor disponibilidad, control y organización tanto de la información y el
tráfico generado logrando un correcto desempeño de toda la red.
Para obtener grandes ventajas en el control y autenticación en el uso de la red, y
diversas aplicaciones y servicios en general de la Institución; es necesario un análisis de
diseño e implementación de un esquema que permita tener un control general que abarque:
autenticación, autorización y contabilidad en base a una arquitectura de red que incluirá
algunos factores a considerar como son:
o Servidor Radius: Permite proporcionar 3 servicios: autenticación, autorización y
29 o Certificados Digitales: Permite mejorar la seguridad en el control de accesos a la red,
y el cifrado de las comunicaciones.
o Sistema de Gestión de Acceso y Control: Utilización del protocolo RADIUS/LDAP
que brindará una mejor organización en el acceso de servicios de directorio ordenado
y distribuido.
El diseño e implementación de la arquitectura de seguridad para la gestión de
control y autenticación de accesos en la red involucran distintos procesos que se llevan a
cabo dentro de la institución (Universidad Internacional SEK), los cuales deberán ser
considerados al realizar las pruebas correspondientes.
1.1.5 Alcance
El presente proyecto permitirá obtener una arquitectura de seguridad más robusta
para el control de acceso a la red inalámbrica, siendo una base para implementarse en otro
campus de la institución. Adicionalmente se busca una optimización en la gestión de
control de los usuarios a la red inalámbrica y la correcta distribución de los canales de
comunicación hacia los usuarios para un eficiente y efectivo desempeño de la red de la
30 1.2 Marco Teórico
1.2.1 Estado actual del conocimiento sobre el tema
Debido al ingreso constante de estudiantes nuevos, visitantes, docentes y el
personal como tal de la institución (UISEK), han dado lugar a que el control de acceso
tanto a la red alámbrica como inalámbrica se vuelva muy amplia y extensa. Actualmente
el estado en el cual se encuentra la gestión para el control y seguridad de acceso a las redes
es básico de acuerdo a los nuevos estándares.
La gestión para el control de acceso y seguridad hacia la red inalámbrica de la
Universidad Internacional SEK se volvería incontrolable dejando toda la carga hacia el
firewall que posee la institución. El uso de nuevas tecnologías que provean un sistema de
gestión más óptimo con servicios de directorio sería una ayuda y sobretodo una solución.
El problema con la red inalámbrica de la Universidad Internacional SEK se centra
en la falta de una implementación de una arquitectura de seguridad que como base posea
un control de usuarios que acceden o accederán a la red de la Institución.
Una de las medidas que se podría efectuar para dar solución al problema es la
implementación de un control de acceso para todos los usuarios de la red inalámbrica
considerando:
31 o El tráfico ocasionado por el uso de la red.
o Políticas de acceso y autenticación para todos los usuarios en general.
o Arquitectura de seguridad de red.
o Preferencias de acceso a la red.
Un gran inconveniente en la actualidad es la seguridad que pueda ofrecer una red
de comunicación, el cual queda en evidencia en el poco control que se brinda al momento
de acceder a la misma. Por lo tanto cada organización o institución educativa debe tener un
modelo de seguridad que utilice herramientas para el control y la autenticación al momento
de ingresar. Ahora la Universidad Internacional SEK no cuenta con una arquitectura de
seguridad robusta para la red inalámbrica, por tal motivo el diseño e implementación de
una arquitectura de seguridad para el control de acceso de los usuarios seria lo adecuado.
La Implementación de una arquitectura de seguridad para la gestión de control de
acceso por medio de los protocolos LDAP o RADIUS, deberá orientarse a establecer una
adecuada organización que permita el acceso a la información almacenada y centralizada
a través de la red. Esto habilita un mejor control de accesos mediante autenticación a través
de cuentas de usuarios de manera individual siendo gestionados por un sistema de manejo
de directorio, donde la información de todos los usuarios puede ser categorizada y
jerárquica incluyendo atributos como nombres, directorios, números telefónicos, e
32
De igual manera para una correcta implementación se tienen distintos estándares
relacionados con un sistema de gestión para el control que son aplicables, considerando
puntos como: el marco de autenticación, protección de los datos del directorio, definición
de accesos y servicios, procesos para operaciones distribuidas, especificación de protocolos
de acceso y sistema, tipos de atributos seleccionados y clases de objetos seleccionados.
X.500, es un servicio de directorio global cuyos componentes gestionan la
información de objetos como organizaciones, personas, equipos, y proporciona una
búsqueda de información por nombre. Dicha información se mantiene en una base de
información de directorio (DIB). Las entradas en el DIB se estructuran en un árbol de
información de directorio (DIT).
Cómo LDAP está basado en el servicio de directorio X.500, que después pasó a ser
un conjunto de estándares de redes de ordenadores que brindaban indicaciones sobre
servicios de directorio y la manera de estructurar directorios globales.
Los protocolos definidos por X.500 incluyen: protocolo de acceso al directorio
(DAP), el protocolo de sistema de directorio, el protocolo de ocultación de información de
directorio, y el protocolo de gestión de enlaces operativos de directorio. Otro de los
estándares es X.509, que hace referencia a certificados de clave pública.
También otro Protocolo a considerar dentro del diseño de una Arquitectura es RPC
33
ordenador ejecutar código en otro ordenador remoto sin tomar en consideración las
comunicaciones entre ambos.
El avance tecnológico ha ocasionado que la información que se maneja sea
demasiado extensa con un alto grado de crecimiento por año. El gran volumen de
información ocasiona un problema que hace difícil una óptima organización, recuperación
de datos y gestión de usuarios. Adicionalmente en redes tanto informáticas como de
telecomunicaciones en cada organización, corporación, institución, o empresa en general,
es indispensable que contengan redes de ordenadores en constante operación para sus
actividades, que no solo se limiten a un lugar específico o compartan recursos entre sí; sino
también que alcancen una adecuada y confiable comunicación, además de otros aspectos.
Entre los aspectos principales esta la administración de los usuarios de una red por
medio de un sistema de base de datos o directorio activo que permitan mantener la
información actualizada de forma instantánea y sea accesible desde cualquier lugar.
Por lo general, se hace necesario en las organizaciones e instituciones que las redes
de comunicaciones contengan un directorio centralizado con las cuentas de usuarios
respectivas para que de forma individual puedan iniciar una sesión desde cualquier estación
de trabajo perteneciente a un mismo dominio sin que conlleve a la creación innecesaria de
nuevas cuentas de manera local; alcanzando así un mayor y mejor control de recursos, y
34
Para el presente proyecto se pretende explicar el diseño e implementación de un
esquema de seguridad que se debería efectuar en un ambiente cotidiano dado por lo general
en entidades que prestan un servicio de acceso a internet a través de la red inalámbrica.
Durante el ciclo del proyecto, al orientarse al control de acceso y seguridad en la
red inalámbrica se utilizará el estándar IEEE 802.1x que indica normas para el control de
acceso a la red basado en puertos, permitiendo la autenticación de los usuarios. Con lo cual
ayuda en el análisis y diseño de la solución del proyecto.
También se considerará las tecnologías para acceso seguro mediante Wi-Fi
Protected Access 2 (WPA2) utilizado tanto en organizaciones privadas como públicas y
EAP, el cual es un protocolo que al permitir múltiples métodos de autenticación, los
usuarios pueden autenticarse, enviar o recibir información en ambientes inalámbricos
como: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS.
Todos estos mecanismos y tecnologías se integrarán con los protocolos RADIUS
(Remote Authentication Dial In User Service) y LDAP (Lightweight Directory Access
Protocol), donde permitirán una administración de los usuarios ya sea por medio de una
plataforma de gestión web o directamente desde el servidor de directorios a través de la
plataforma de administración; además de llevar un registro de actividades y proporcionar
permisos o la restricción de los recursos independientemente a cada usuario o grupo de
35
Para el proyecto de investigación se utilizarán herramientas de software como: SQL
Server, RADIUS, LDAP, entre otros. También se tendrá siempre en consideración tanto
los estándares como las tecnologías en el transcurso del desarrollo del proyecto para
proporcionar directivas y lineamientos que se ajusten al ambiente en progreso, y una
interoperabilidad informática que favorezca sobre todo a satisfacer las necesidades de una
organización y de sus usuarios brindando soluciones óptimas a los problemas.
1.3 Marco Conceptual
1.3.1 Sistema Operativo
Un sistema operativo (SO) es un programa y parte de un sistema computacional
que cumple distintas funciones, donde su objetivo es simplificar la gestión, el manejo y la
utilización de los recursos del ordenador ya sea a nivel de hardware o software brindando
eficiencia y seguridad. Actualmente los sistemas operativos han ido evolucionando dando
nuevas funcionalidades como: interfaces gráficas, protocolos de comunicación, etc.
Las funciones principales que desempeña un sistema operativo son:
o Gestión de recursos de la equipo (ordenador)
o Ejecución de servicios para los programas o aplicaciones
36 1.3.2 Servicios del Sistema Operativo
Un sistema operativo al crear un entorno para la ejecución de programas, procesos
o tareas, proporciona servicios a los programas y a los usuarios de dichos programas. Estos
servicios posibilitan la comodidad del programador y facilitan la programación. Entre los
principales servicios se encuentran los siguientes:
o Ejecución de programas: el sistema permite la carga del programa en memoria para
ejecutarlo.
o Operaciones de E/S: un programa en ejecución podría requerir E/S; lo que
implicaría el uso de un archivo o dispositivo de E/S. Por tanto el sistema operativo
deberá proporcionar un mecanismo para realizar E/S.
o Manipulación del sistema de archivos: los programas requieren la lectura y escritura
de archivos al igual que la creación, modificación y eliminación de archivos.
o Comunicaciones: cuando un proceso necesita el intercambio de información con
otro, la comunicación se puede efectuar entre procesos que se ejecutan en un mismo
ordenador o en diferentes ordenadores conectados a una red. Para ello, la
comunicación puede darse mediante memoria compartida o por transferencia de
mensajes, donde el sistema operativo traslada paquetes de información entre los
procesos.
o Detección de errores: un sistema operativo necesita estar pendiente en todo
momento de posibles errores en el hardware, software y sobretodo en la red. El
sistema operativo deberá tomar acciones apropiadas para asegurar el correcto
37 1.3.3 Sistemas Distribuidos
Un sistema distribuido es un conjunto de ordenadores físicamente separados que
están conectados en red para proporcionar a los usuarios el acceso a distintos recursos del
sistema. Ciertos sistemas operativos recurren a funciones de red, otros toman los accesos
de red como un tipo de acceso de archivo, entre otros modos, por ejemplo: FTP y NFS.
Ahora las funcionalidades de un sistema distribuido dependerán de la red, y de los
protocolos utilizados en efecto.
Los sistemas distribuidos al ser establecidos permiten la entrega de diversas
funcionalidades como:
o Recursos compartidos: ofrece mecanismos para compartir archivos de forma
remota, procesar información de una base de datos distribuida, impresión de
archivos, procesamiento de información y de operaciones; como por ejemplo: al
haber distintos sitios conectados a través de la red, el usuario de un sitio puede
utilizar los recursos que se encuentren disponibles en otro.
o Velocidad computacional: permite dividir un proceso o cálculo en sub procesos o
sub cálculos para una ejecución más rápida, debido que al distribuirse una tarea en
un sistema distribuido la carga computacional se vuelve compartida.
o Confiabilidad: en ocurrencia de un incidente en un sitio de un sistema distribuido,
los demás sitios deberán seguir en funcionamiento ya que cada terminal que
38 o Comunicación: al estar conectados distintos puntos de una red de comunicaciones,
los procesos que se ejecutan en diferentes sitios pueden efectuar el intercambio de
información.
1.3.4 Hardware de red
Los sistemas distribuidos se construyen sobre las redes de computadoras, las cuales
pueden ser principalmente las redes: LAN (Redes de área local), que cubren un edificio o
un campus, y WAN (Redes de área amplia), que cubren una ciudad, país, o incluso
continentes a nivel mundial. El tipo de LAN más importante es Ethernet, y para WAN seria
Internet (aunque técnicamente es una red de redes).
En una red Ethernet, se toma en consideración la longitud máxima de cable y un
número máximo de terminales (ordenadores) que se pueden conectar. Al momento de
extender los límites de la red se requerirá mayor cableado que se conectarán por medio de
dispositivos como puentes (bridges) para permitir que el tráfico pase de una red Ethernet
a otra, y conmutadores (switches) para evitar colisiones, ya que cada ordenador tendrá su
39
Figura No. 1: Ethernet conmutada
Fuente: El autor
Para la red de internet que inició como ARPANET, tuvo un crecimiento rápido al
abarcar cientos de terminales, que después se conectaban a redes de radio paquetes, redes
satelitales, redes Ethernet dando lugar a la federación de redes denominada Internet.
Internet principalmente abarca dispositivos como: concentradores (hubs),
enrutadores (routers), anfitrión (host), etc. Los hosts son PCs, notebooks, dispositivos de
bolsillo, servidores, mainframes y otros ordenadores que poseen los usuarios o empresas
que desean conectarse a Internet. Los enrutadores son conmutadores especializados, que
reciben paquetes de una de varias líneas entrantes, y los envían a través de muchas líneas
salientes.
Los enrutadores se conectan entre sí en grandes redes, donde cada enrutador posee
40
de Internet) al igual que compañías telefónicas operan extensas redes de comunicaciones
para sus clientes.
Figura No. 2: Internet
Fuente: El autor
En redes de comunicaciones se da una clasificación en base a: la tecnología de transmisión
y escala. Existen dos tipos de tecnología de transmisión: los enlaces de difusión (broadcast)
y los enlaces de punto a punto. Una red punto a punto conectan pares individuales de
ordenadores, y en una red de difusión todas los equipos comparten el canal de
comunicación; una red inalámbrica es un ejemplo de una red de difusión.
Por su escala las redes se clasifican en redes de área personal, destinadas a una persona.
Después se encuentran redes más grandes, divididas en redes de área local, de área
41 1.3.4.1 PAN
Las redes de área personal PAN (Personal Area Network) permiten la
comunicación de dispositivos dentro del rango de una persona. Por ejemplo: una
red inalámbrica que conecta a un ordenador con sus periféricos.
1.3.4.2 LAN
Las redes de área local, LAN (Local Area Networks), son redes de
propiedad privada que operan dentro de un solo edificio, casa, oficina. Las redes
LAN se utilizan para conexión de ordenadores para compartir recursos e
intercambiar información.
1.3.4.3 WAN
Una Red de Área Amplia, WAN (Wide Area Network), son redes que
constituyen una extensa área geográfica, país o continente.
1.3.5 Redes inalámbricas
Una red inalámbrica es una red en la que dos o más terminales se pueden comunicar
sin necesidad de una conexión por cable. Las redes inalámbricas permiten al usuario
mantenerse conectado al desplazarse en una determinada área geográfica. Las redes
inalámbricas se basan en enlaces que utilizan ondas electromagnéticas en lugar del
42
velocidad de transmisión. Las redes inalámbricas se clasifican de acuerdo al área de
cobertura desde la que un usuario se conecta a la red.
1.3.5.1 Redes de área local inalámbricas (WLAN)
Una red de área local inalámbrica (WLAN), abarca un área equivalente a
una red local de una empresa, con un alcance aproximado de 100 metros. Con lo
cual las terminales que se encuentran dentro de un área de cobertura determinada
puedan conectarse entre sí.
1.3.5.2 Tecnología Wi-Fi
Una red Wi-Fi (marca de Wi-Fi Alliance) es una red de comunicación de
datos que permite conectar equipos como: servidores, ordenadores, etc., sin
necesidad de cableado.
Una red Wi-Fi permite una interoperabilidad de los equipos de una red según la
norma IEEE 802.11, siendo compatibles con cualquier fabricante que utilice estos
estándares. Los componentes básicos de una red Wi-Fi son:
o Punto de acceso (AP): permiten la unión entre redes cableadas y una red Wi-Fi,
o entre varias redes Wi-Fi, que actúa entonces como repetidor de la señal entre
estas zonas (celdas).
43 o Terminal Wi-Fi: puede ser un dispositivo externo, que se instala en un equipo
terminal, o puede estar integrado en equipos terminales portátiles y móviles.
1.3.5.3 Estándares Wi-Fi
IEEE (International Electrical and Electronic Engineers), Instituto
Internacional de Ingenieros Eléctricos y Electrónicos), es un organismo encargado
de la publicación de artículos, realización de conferencias y redacción de
estándares. El IEEE proporciona una extensa familia de estándares relacionados
con las redes de área local como la 802.
1.3.5.4 Estándar 802.1x
El estándar IEEE 802.1x se define como un protocolo de control de acceso
y autenticación basada en una arquitectura cliente-servidor, que impide que los
clientes (usuarios) se conecten a una red LAN a través de puertos de acceso público
sin ser autenticados.
1.3.5.5 IEEE 802.1x y EAP
El protocolo de autenticación IEEE 802.1x (conocido como Port-Based
Network Access Control) es un entorno desarrollado en principio para redes
44
claves; además de incluir controles de acceso para usuarios de una red. La
arquitectura IEEE 802.1x está compone 3 entidades funcionales:
o suplicante que se une a la red.
o autenticador que controla el acceso.
o servidor de autenticación que realiza la autorización.
En las redes inalámbricas, el punto de acceso se lo considera como
autenticador. Cada puerto físico o virtual en redes inalámbricas, se divide en dos
puertos lógicos, formando un PAE (Port Access Entity). El PAE de autenticación
se encuentra siempre abierta y da paso a procesos de autenticación, en cambio el
PAE de servicio sólo se abre al haber una autenticación satisfactoria como por
ejemplo una autorización. El servidor de autenticación (puede ser un servidor
RADIUS) toma la decisión de otorgar el permiso de acceso.
Ahora el estándar 802.11i realiza modificaciones a la IEEE 802.1x para que
las redes inalámbricas puedan estar protegidas contra incidentes de robo de
identidades. La autenticación de los mensajes asegura de que tanto el suplicante
como el autenticador prevean sus claves secretas y activen la encriptación previo
acceso a la red. El suplicante y el autenticador se comunican mediante el protocolo
basado en EAP. El autenticador simplemente se limita a enviar todos los mensajes
45
EAP es un entorno dirigido al transporte de varios métodos de autenticación
con un número limitado de mensajes (Request, Response, Success, Failure),
mientras que otros mensajes intermedios dependen del método de autenticación
seleccionado: EAP-TLS, EAP-TTLS, PEAP, EAP-SIM etc. Al completarse el
proceso, tanto el suplicante como el servidor de autenticación tendrán una clave
secreta. El protocolo utilizado en redes inalámbricas para el transporte EAP se
denomina EAPOL (EAP Over LAN), y para comunicaciones entre el autenticador
y un servidor de autenticación se utilizan protocolos de nivel más alto, como
Radius, etc.
1.3.6 Software de red
Gran número de redes se organizan como una pila de niveles, dichos niveles
difieren entre una red y otra. El propósito de cada nivel es proporcionar ciertos servicios a
los niveles superiores, es decir, cada nivel ofrece servicios al nivel que se encuentra encima.
1.3.7 Servicios de conexión
Los niveles proporcionan 2 tipos distintos de servicio a los niveles superiores: orientado a
conexión y sin conexión.
1.3.7.1 Servicio orientado a conexión
Este servicio surge a partir del sistema telefónico. Un servicio de red
46
y luego la libera; de modo que se conserva el orden de los bits desde que fueron
enviaron.
1.3.7.2 Servicio orientado sin conexión
Este servicio surge a partir del sistema postal. En un servicio de red
orientado sin conexión, cada paquete tiene la dirección de destino completa, y cada
uno es direccionado hacia nodos intermedios dentro del sistema, de manera
independiente a todos los paquetes subsecuentes.
1.3.7.2.1 UDP
UDP (User Data Protocol), es un protocolo a nivel de
transporte que se basa en el intercambio de datagramas. Permite el envío
de datagramas a través de la red sin establecerse una conexión previa.
1.3.8 Arquitectura de seguridad
AAA (Authentication, Authorization and Accountig) es una arquitectura de
seguridad, que se divide en tres módulos: Autenticación, Autorización, Contabilidad que
trabajan en conjunto, proporcionando una conexión de red eficiente y segura. Entre sus
47 o Autenticación: ofrece el método de identificación de usuarios, que incluye nombre de
usuario, contraseña, soporte de mensajería, y, dependiendo del protocolo de seguridad
escogido, ofrece un cifrado.
o Autorización: ofrece el método para control de acceso remoto, que incluye autorización
total o por cada servicio, perfil por usuario, lista de cuentas, soporte de grupos, etc.
o Contabilización: ofrece el método de recopilación y envió de información a un servidor
de seguridad, que es usado en facturación, auditoria y reporte de: nombres de usuario,
tiempo de inicio y fin, cantidad de paquetes enviados, número de bytes.
AAA provee ciertas ventajas como arquitectura de seguridad:
o Control de configuraciones de acceso y mayor flexibilidad.
o Uso de métodos de autorización estandarizados, como RADIUS, TACACS+, etc.
o Variedad de sistemas de apoyo (backup).
1.3.9 Modelo de referencia TCP/IP
Este modelo se basa en la necesidad de que la información y los datos organizados
en forma de paquetes recorran a su destino independientemente de la condición de
cualquier nodo o red determinado. TCP/IP constituye 4 niveles: nivel de aplicación, nivel
de transporte, nivel de red y nivel de enlace.
o Nivel de enlace: realiza el manejo de datos hacia o desde el medio físico.
o Nivel de red: realiza el envío de los datos desde el origen al destino.
o Nivel de transporte: realiza el manejo de comunicaciones entre los equipos de extremo
48 o Nivel de aplicación: realiza el manejo de implementación de aplicaciones de usuarios.
Figura No. 3: Modelo TCP/IP
Fuente: El autor
1.3.10 Seguridad en redes inalámbricas
1.3.10.1 Autenticación
La autentificación permite verificar la identidad de un usuario o un
proceso mediante el uso de credenciales que contengan: usuario y contraseña, hasta
49 1.3.10.2 Criptografía
La criptografía se basa en el cifrado o descifrado de la información digital
mediante el empleo de técnicas matemáticas. En el proceso de encriptación, un
mensaje contiene información que es cifrada y solo puede ser descifrada por quien
posea la clave, resultando un proceso de des encriptado.
Figura No. 4: Criptografía de datos
Fuente: El autor
Los métodos de encriptación se dividen en:
1.3.10.2.1 Criptografía de Clave Simétrica
Se utiliza una misma clave secreta en el emisor y receptor para encriptar
y desencriptar la información transmitida, dicha clave será intercambiada entre los
equipos a través de un canal seguro. El uso de algoritmos simétricos se hace útil
50 o DES: Basado en un sistema mono alfabético, que utiliza un algoritmo de cifrado
que aplica permutaciones y sustituciones sucesivamente.
o IDEA: Basado en el uso de bloques de texto de 64 bits, y opera con números de
16 bits mediante operaciones XOR, también utiliza suma y multiplicación de
enteros.
o RC5: Basado en la aplicación de operaciones XOR sobre los datos. Utiliza
diferentes longitudes de clave, iteraciones, y funciona como generador de
números aleatorios.
o AES: Basado en la aplicación de bloques y claves de longitud variable.
1.3.10.2.2 Criptografía de Clave Asimétrica
Se utiliza 2 llaves diferentes uno para el emisor y otro para el receptor.
Cada usuario tendrá una clave privada y una clave pública; donde la clave privada
será secreta y estará protegida por el propio usuario, en cambio la clave pública será
accesible para todos los usuarios que constituyen el sistema de comunicación. Este
tipo de criptografía ofrece integridad y autenticidad. Los algoritmos asimétricos se
basan en funciones matemáticas, y entre los principales se encuentran:
o Diffie-Hellman: Basado en la generación de una clave privada simétrica en el
51 o RSA: Basado en el problema de factorización de números enteros para la
resolución del problema de distribución de llaves simétricas y muy utilizado en
firmas digitales.
1.3.10.3 Algoritmos de Autentificación HASH
Los algoritmos de autenticación hash constituyen un método de
generación de claves que representan un conjunto de datos. Una función hash es
una operación matemática realizada sobre el conjunto de datos, y cuya salida es una
huella digital independiente del tamaño del conjunto de datos original. El cifrado
de una huella digital se denomina como una firma digital.
o MD5: Es una función hash de 128 bits que no permite el cifrado de un mensaje,
donde la información original no es recuperable.
o SHA-1: Compone un bloque de 160 bits donde la función de compresión es
compleja haciéndolo más robusto y seguro.
o SHA-2: Su diseño es mejorado con respecto a SHA-1 siendo más seguro, y por
ende más lento en su procesamiento y uso.
1.3.11 Servicio de Directorio
Un servicio de directorio (SD) es una aplicación o conjunto complejo de
52
organiza la información de los usuarios de una red, mediante la gestión del acceso de los
usuarios a los recursos de la red.
Los directorios generalmente contienen información detallada en base a atributos y
filtrado pero no soportan transacciones complejas ni esquemas de Roll Back como en los
sistemas de bases de datos; ya que las actualizaciones de los directorios son cambios
simples.
Un servicio de directorio proporciona una interfaz de acceso a los datos, la cual la
autenticación de los accesos al servicio de forma segura y centralizada para el acceso a los
recursos del sistema que manejan los datos del directorio.
1.3.12 Certificado Digital
Es un conjunto de credenciales de autentificación cifradas que se identifican
mediante una clave pública que verifica la firma digital incluida. Los certificados digitales
evitan la visualización de información que se intercambia en la red al momento del envío
o recepción de datos. Un certificado digital constituye 3 partes importantes que incluyen:
o Una clave pública.
o Identidad del remitente (nombre y datos generales).
53
El estándar que establece el formato de uso de un certificado digital es el X509. Un
certificado digital entonces además de autenticar a un usuario de red permite:
o Autenticar al usuario al momento de identificarse.
o Firmar digitalmente un documento digital.
o Manejar documentos digitales que están firmados digitalmente considerando la
confiabilidad del remitente y del destinatario.
o Mantener la integridad, confidencialidad y disponibilidad de la información
(documento digital) entre el remitente y el receptor.
o Realizar transacciones comerciales con seguridad y legalidad.
A la entidad que otorga certificados digitales se denomina autoridad de
certificación.
1.3.13 Autoridad Certificadora CA
Es la autoridad encargada de firmar los certificados y confirmar que el propietario
de un certificado es quien dice ser. Una autoridad certificadora puede certificar identidades
de otras autoridades certificadoras. El proceso se detiene cuando una autoridad no tiene
quién la certifique, por lo que el certificado lo debe firmar la misma, siendo un certificado
de raíz.
La Autoridad Certificadora administra, determina el tiempo de validez y mantiene
54 1.3.14 Renovación de Certificados
Es el proceso de actualización de datos del usuario que posee el certificado. Este
proceso se realiza cuando las claves han expirado o la seguridad ha sido vulnerada.
1.3.15 Revocación de Certificados
Es el proceso en el cual la autoridad certificadora notifica a todas las entidades
cuando un certificado es suspendido o revocado.
1.3.16 PEAP
El Protocolo de autenticación extensible protegido (PEAP), utiliza una seguridad
de nivel de transporte (TLS) para crear un canal cifrado y seguro entre un cliente de
autenticación PEAP como un equipo inalámbrico, y un autenticador PEAP como un
servicio de autenticación de internet (IAS) o un servidor de autenticación (RADIUS).
PEAP no especifica un método de autenticación, pero proporciona seguridad adicional para
protocolos de autenticación EAP, como EAP-MSCHAPv2, que operan a través de un canal
cifrado de TLS proporcionado por PEAP. El protocolo PEAP se implementa como un
método de autenticación para equipos cliente inalámbricos 802.11, sin embargo, no admite
55 1.3.17 LDAP
LDAP (Lightweight Directory Access Protocol), es un protocolo a nivel de
aplicación basado en el estándar X.500 (conjunto de estándares de redes de ordenadores de
la ITU-T sobre el servicio de directorios) que permite el acceso a un servicio de directorio
ordenado y distribuido en un entorno de red. Este protocolo se ejecuta sobre TCP/IP o sobre
otros servicios de transferencia orientados a conexión; con lo cual proporciona acceso a la
información del directorio para su búsqueda.
LDAP es similar a una base de datos que permite el procesamiento de consultas, y
al ser un sistema cliente - servidor puede usar diversas bases de datos para almacenar un
directorio, para operaciones de lectura rápida de gran volumen.
A menudo se almacena información de los usuarios que pertenecen a una red de
ordenadores, como por ejemplo el nombre de usuario, contraseña, directorio, etc., sin
embargo es posible almacenar también otro tipo de información tal como, el número de
teléfono celular, fecha de nacimiento, ubicación de los recursos de la red, permisos,
certificados, etc.
Cuando un cliente LDAP se conecta a un servidor LDAP puede consultar un directorio, o
modificarlo. Al transcurrir la consulta, el servidor, puede contestarla localmente o dirigir
la consulta a un servidor LDAP que tenga la respuesta. Si el cliente intenta modificar
información en un directorio LDAP, el servidor realiza una verificación y confirmación de
56
información. Entonces, LDAP es un protocolo de acceso unificado a un conjunto de
información sobre los usuarios de una red de comunicación de ordenadores.
1.3.18 RADIUS
RADIUS (Remote Authentication Dial-In User Server), es un protocolo que permite la
gestión para la “autenticación, autorización y registro” de usuarios remotos para el uso de
un determinado recurso, o aplicaciones de acceso a la red e IP. RADIUS para establecer
conexiones de comunicación utiliza los puertos 1812 y 1813 UDP.
Cuando el tamaño de una red es grande y se necesita proporcionar un servicio de acceso
centralizado, las organizaciones optan por hacerlo mediante diversos servidores RADIUS.
El brindar acceso a internet o conexión con otras redes corporativas con diferentes tipos de
tecnologías de red (VPNs, WIFI, MÓDEMs, Xdsl, redes inalámbricas) mediante éste
protocolo no sólo se centra en la gestión de acceso a la propia red sino también para
servicios de Internet como el correo electrónico, la web o en el proceso de señalización SIP
en VoIP.
Por ejemplo, en el proceso de conexión con un ISP a través de un medio de conexión como:
módem, DSL, cable módem, Ethernet o Wi-Fi, se envía información (nombre de usuario y
contraseña) que es transferido a un dispositivo NAS (Network Access Server) sobre el
protocolo PPP, el cual re direcciona la petición a un servidor RADIUS sobre el protocolo